Didi 보안사고 관점에서 데이터 보안 운영 역량 구축

I. 소개 

2021년 12월 9일 저녁, Apache Log4j2 원격 코드 실행 취약점(CVE-2021-44228)이 전 세계를 강타했습니다. 이 취약점은 CVSS 점수가 10점 만점에 10점으로 에픽 취약점이라고 할 수 있습니다. 이 취약점이 있는 것으로 밝혀진 Baidu, Apple 및 기타 기업을 포함하여 전 세계 대부분의 인터넷 기업에 영향을 미칩니다.

취약점이 발생한 지 거의 한 달이 지났습니다. 이번 달에는 이 취약점을 이용한 공격이 잇달아 나타났습니다. 일부는 마이닝을 확산하고, 일부는 랜섬웨어를 확산시키고, 일부는 봇넷을 구축하고, 일부는 데이터를 훔치기 위해 APT 공격을 수행하는 데 사용됩니다. 마이닝 외에도 데이터 수집과 관련된 다른 공격 활동도 있습니다. 따라서 우리는 목소리를 높여야 합니다. 엄청난 침해가 발생한 후에는 다시 데이터를 보호해야 할 때입니다! 따라서 이 기사에서는데이터 보안그리고 데이터안전한 작동체계.

 

둘,데이터 보안건설의 필요성

1. 개요

데이터 보안에 관해 말하자면, 2021년 가장 인상적인 것은 바로 Didi입니다.

 

• 7월 2일, 중국 사이버 공간 관리국은 '국가 데이터 보안 위험, 국가 안보 수호, 공공 이익 보호'를 이유로 Didi Chuxing에 대한 보안 검토를 시작하고 신규 사용자 등록을 중단했습니다.
• 7월 4일, 중국 사이버공간관리국은 '디디추싱(Didi Chuxing)' 앱의 개인정보 불법 수집 및 이용 행위가 심각하다는 공지를 발표하고 해당 앱 스토어에 앱 삭제를 명령했습니다.
• 7월 9일, 중국 사이버 공간 관리국은 Didi Enterprise Edition을 포함한 25개 앱을 제거하라는 또 다른 통지를 발표했습니다.
• 7월 16일, 중국 사이버 공간 관리국은 중국 사이버 공간 관리국이 공안부, 국가 안보부, 천연자원부, 교통부, 국가 세무총국, 국가 국가 안전부와 함께 시장 규제 관리 및 기타 부서는 Didi Chuxing Technology Co., Ltd.에 공동으로 배치되어사이버 보안검토.

동시에 7월 5일에는 '윤만만', '왜건깡', '보스직접모집'이 네트워크 보안심사 대상이 되어 해당 기간 동안 신규 사용자 등록이 중단됐다. 7월 10일, 중국 사이버 공간 관리국은 "사이버 보안 검토 조치(의견 수정 초안)"를 발표했습니다(이 조치는 2021년 11월 16일 2021년 중국 사이버 공간 관리 제20차 사무실 회의에서 검토 및 승인되었으며, 2022년 2월 15일부터 시행), 이용자 개인정보가 100만 명 이상인 사업자는 해외에 공개하고, 사이버보안심사사무소에 네트워크 보안심사를 신청해야 합니다.

이러한 일련의 사건 이면에는 데이터 보안 취약점, 데이터 남용 등 최근 국내 인터넷 플랫폼에 발생한 혼란이 반영되어 있다. 현재 데이터 보안은 디지털 경제 시대에 가장 시급하고 기본적인 보안 이슈로 대두되었으며, 데이터 보안 거버넌스 강화는 국가 안보와 국가 경쟁력 유지를 위한 전략적 필요로 대두되었습니다. 최근에는 "사이버보안법》, 《데이터 보안법"그리고"개인정보보호법"'데이터 보안 보호법' 등 데이터 보안 보호와 관련된 법적 프레임워크의 시행 또는 공포는 데이터 보안 보호에 대한 제도적, 법적 지원을 제공했습니다.

국가 데이터 보안 거버넌스 및 관련 법률이 도입되면서 경제 발전에 있어서 데이터의 중요성이 점점 더 많이 반영되고 있습니다. 디지털 경제시대의 핵심이자 가장 가치 있는 생산요소인 데이터는 글로벌 경제 성장의 새로운 원동력이자 새로운 엔진으로 거듭나고 있습니다.

실제로 2020년 4월 9일 '더 완벽한 시장형 배분 체계 및 요소 메커니즘 구축에 관한 중국 공산당 중앙위원회 및 국무원 의견'에서 '데이터'가 문서는 새로운 생산요소로, '데이터'는 토지, 노동, 자본, 기술과 병치된다.

5G, 인공지능, 클라우드컴퓨팅, 블록체인 등 새로운 ICT 기술, 새로운 모델, 새로운 애플리케이션은 모두 막대한 양의 데이터를 기반으로 하며, 그 양 역시 폭발적으로 증가하고 있습니다. IDC 예측에 따르면 2025년 전 세계 데이터 양은 175ZB 증가할 것으로 예상됩니다. 그 중 중국의 데이터 규모는 2025년 48.6ZB로 증가해 전 세계 데이터 서클의 27.8%를 차지할 것으로 예상되며, 중국은 세계 최대의 데이터 서클이 될 것이다.

 

2. 우리나라의 데이터 보안 정책

데이터의 중요성이 높아짐에 따라 데이터 보안 문제는 국가안보, 사회보장, 국민안전과 관련된 보안 이슈로 대두되고 있으며, 데이터 보안 거버넌스는 점차 국가안보 거버넌스라는 전략적 차원으로 격상되고 있습니다. 이는 최근 몇 년 동안 국가가 관련 법률 및 규정을 반복적으로 발표하여 데이터 보안을 중요한 위치에 두었다는 사실에서 알 수 있습니다.

다음은 최근 몇 년 동안 국가에서 도입한 데이터 보안과 관련된 몇 가지 법률 및 규정입니다.

• 2015년 7월 1일, 중화인민공화국 국가보안법이 공식적으로 공포되어 데이터 보안을 국가 안보 범위에 공식적으로 포함시켰습니다.
• 2016년 11월 7일, "개인정보 보호", "데이터 저장 및 국경 간 보안", "데이터(정보) 콘텐츠 보안" 및 "데이터 시스템"을 포함하는 "중화인민공화국 사이버보안법"이 공식 발표되었습니다. , 플랫폼 및 시설". "보안" 및 기타 측면, 데이터 및 개인 정보의 준수를 규제합니다. 이 법은 2017년 6월 1일에 공식적으로 시행되었습니다.
• 민감한 개인정보 수집 방식, 정확한 광고 푸시, 과도한 APP 권리 주장, 어려움 등 최근 네트워크 데이터 보안 문제를 개선하기 위해 '데이터 보안 관리 대책(의견 초안)'이 2019년 5월 28일 발표되었습니다. 계정 취소 및 기타 문제
• 2019년 6월 13일 개인정보 해외 이전 보안성 평가에 관한 대책(의견 초안)이 발표되었으며, 개인정보 해외 이전 보안성 평가의 주요 평가 내용을 명시하고, 모든 개인정보 이전에 대해 반드시 준수해야 한다고 규정했습니다. 법에 따라 중국 사이버 관리국에 보고하고 중국 사이버 관리국에 제출 정보국은 보안 평가를 실시하고 아웃바운드에서 알권리 등 개인정보주체의 권리 이행에 대한 보장을 명확히 했습니다. 시나리오, 일련의 설계를 통해 해외 수신자에 대한 감독 강화, 네트워크 사업자와 개인정보 수신자 간에 체결되는 계약 조건을 포괄적으로 규정했습니다.
• 2019년 12월 30일, 모바일 앱에 의한 개인정보 불법 수집 및 이용을 6가지 범주로 정의하고 정의 기준을 제안하는 "앱별 개인정보 불법 수집 및 이용 판단 방법"이 발표되었습니다.
• 2020년 5월 28일, 중화인민공화국 민법이 채택되어 개인 정보 보호와 개인 정보의 위치와 정의를 명확히 하고 개인 정보 처리 범위, 주체 권리, 요구 사항 및 원칙을 명확히 하고 데이터 활동이 적법하고 합법적인 법률 및 규정을 준수해야 합니다. , 필요성의 원칙;
• 2021년 3월 22일, "모바일 인터넷 애플리케이션의 일반적인 유형에 필요한 개인정보 범위에 관한 규정"이 발표되었습니다. 이 규정은 39가지 일반적인 유형의 앱에 대해 필요한 개인정보의 범위를 명확히 하고 해당 운영자가 불필요한 개인정보를 제공하지 않도록 요구했습니다. 본 앱의 기본 기능 서비스에 대한 이용자의 접근을 거부하는 목적은 본 앱의 개인정보 수집 및 이용을 효과적으로 규제하고 본 앱의 건전한 발전을 도모하기 위한 것입니다.
• 2021년 4월 26일, "사전 동의"와 "최소 필요"라는 두 가지 중요한 원칙을 설정하고 요구 사항을 자세히 설명하는 "모바일 인터넷 응용 프로그램의 개인 정보 보호 및 관리에 관한 임시 규정(의견 초안)"이 발표되었습니다. 앱 개발자 및 운영자를 위한 배포 플랫폼, 제3자 서비스 제공자, 단말기 제조업체, 네트워크 액세스 서비스 제공자를 포함한 5가지 유형의 주체의 책임과 의무, 불만 사항 및 보고, 감독 및 검사, 폐기 조치를 포함한 4가지 규제 요구 사항, 위험 경고가 제안됩니다.
• 2021년 6월 10일, '중화인민공화국 데이터 보안법'이 공식적으로 통과되어 데이터 보안 관리를 위한 다양한 기본 시스템을 구축하고, 데이터 보안 보호 의무를 명확히 하고 데이터 보안 보호 책임을 이행하며, 보안과 개발의 동등한 강조를 강조했습니다. , 데이터 보안 및 개발을 촉진하기 위한 지원 조치를 규정합니다. 이 법은 2021년 9월 1일에 공식적으로 시행됩니다.
• 2021년 8월 20일, 개인정보 처리 규칙, 개인정보 처리 활동에 대한 개인의 권리와 의무, 개인정보 보호 책임을 수행하는 부서를 명시한 "중화인민공화국 개인정보 보호법"이 공식적으로 통과되었습니다. . 이 법은 2021년 11월 1일부터 공식적으로 발효된다.
• 2021년 11월 16일, 사용자 100만명 이상의 개인정보를 보유하고 있는 사업자는 해외에 공개하고 사이버보안심사소에 네트워크 보안 심사를 신청해야 하는 '사이버보안 심사조치'가 공식적으로 채택됐다. 이 법안은 2022년 2월 15일부터 시행됩니다.

국가 차원의 관련 법률, 규정 및 정책 외에도 다양한 지방 및 시에서도 데이터 보안과 관련된 일련의 규정 및 지침을 발표했으며 그 중 일부는 다음과 같습니다.

또한 금융 및 보험업, 통신 및 인터넷 산업, 차량 인터넷 산업, 산업 인터넷 산업 등 데이터 보안 관련 산업에서도 최근 몇 년간 데이터 및 데이터 보안 문제에 점점 더 많은 관심을 기울이고 있습니다. 중국 인민은행, 중국 은행보험감독관리위원회, 공업정보화부 등 과학기술부, 과학기술부 등 부서에서는 다양한 분야에서 데이터 보안 관리를 표준화하기 위해 해당 규정을 발표했습니다. 산업 및 데이터 보안 보호 기능을 향상시킵니다. 데이터 분류 및 분류, 관리 능력 평가, 보안 보호 및 기타 관련 업무에 대한 정책 지침을 제공합니다. 좋다:

 

일반적으로 우리나라의 현행 데이터 보안 관련 법규는 국가보안법, 사이버보안법, 민법 등을 기반으로 하고 있으며, 각 시·도는 현지 사정에 따라 상응하는 현지 법률을 제정하게 된다. 데이터 국경 간 문제를 적극적으로 탐색하고 있습니다. 광범위한 데이터 애플리케이션에 대응하여 다양한 산업의 규제 당국은 업계 내 데이터를 관리하고 보호하는 고유한 임무를 수행해야 합니다.

3. 데이터 보안을 둘러싼 강대국 간의 게임

실제로 데이터 보안 문제는 결코 중국에만 국한된 문제가 아니라 전 세계가 직면한 공통 문제입니다. 세계 각국 정부는 데이터가 국가 안보 및 국제 경쟁력과 밀접한 주요 요소가 되었음을 점차 인식하고 있으며, 데이터 보안에 대한 이해도 전통적인 개인 정보 보호에서 국가 안보 유지로 높아졌습니다.

2018년 5월 25일, 유럽연합은 공식적으로 일반 사항을 도입했습니다.데이터 보호우리에게 친숙한 GDPR(일반 데이터 보호 규정)인 규정은 회사 시스템의 개인정보 보호 조치를 더 자세하게 규정하고, 데이터 보호 계약을 더 자세하게 규정하며, 회사의 개인정보 및 데이터 보호 공개를 요구합니다. practice는 더 사용자 친화적이고 상세합니다. 2020년 6월 30일, 유럽 데이터 보호 기관은 "유럽 데이터 보호 기관 전략 계획(2020-2024)"도 발표했는데, 이는 미래 지향적, 실행 가능, 조정이라는 세 가지 측면에서 데이터 보안을 지속적으로 강화하는 것을 목표로 합니다. 개인의 사생활 권리를 보호합니다.

유럽 외에도 미국 백악관 관리예산처(OMB)도 2019년 12월 23일 '연방 데이터 전략 및 2020년 실행 계획'을 발표해 데이터 무결성 보호를 위한 요구 사항을 설정하고 순환 데이터의 신뢰성을 보장했습니다. , 데이터 저장, 안전 및 기타 기본 원칙.

데이터 보안이 점차 국가 차원으로 높아지면서 국가 간 데이터 경쟁이 점차 심각해지고 있습니다. 이번 디디 검토는 국가 차원의 데이터 유출 가능성이 제기되는데, 미국 법률에 따르면 외국회사 보유 책임법(Holding Foreign Companies Accountable Act)에 따라 감사보고서, 사용자 데이터, 도시 데이터 등을 제출해야 한다. 지도는 국가 데이터 주권과 관련된 핵심 데이터로, 국가 안보, 공익, 사회 안정에 직접적인 영향을 미칠 수 있습니다.

오늘날 강대국 간의 게임이 계속 심화되면서 데이터는 국가의 중요한 생산 요소이자 전략적 자원이며, 국경 간 흐름이 점점 더 빈번해지면서 잠재적인 국가 안보 위험이 초래되었습니다. 첫째, 해외로 이전되는 정보자료는 외국 정부가 입수할 가능성이 높다. 둘째, 우리나라의 전략적 행동은 예측하기 쉽고 정책 수동성에 빠진다. 금융 데이터. 셋째, 데이터 기반 신흥 기술 분야에서 우리나라의 경쟁 우위가 점차 약화됩니다. 예를 들어, 우리나라는 세계 최고의 안면 인식 회사인 SenseTime을 보유하고 있습니다. 일단 해당 데이터를 다른 국가에서 획득하게 되면 이 분야에서 우리나라의 경쟁 우위가 크게 약화될 것입니다. .

일부 국가, 특히 미국은 현재 글로벌 데이터 보안 거버넌스 시스템에서 우리나라를 제외하고 중국의 데이터를 억압하고 있으며, 우리나라에 대한 데이터 보안 검토 규칙을 제정하여 데이터 보안 분야에서 우리나라 주변에 "포위"를 형성할 수 있습니다. ... 예를 들어, 2020년 미국, 인도, 호주 등 국가는 데이터 보안을 이유로 틱톡에 대한 단속을 공동으로 시작했고 보안 조사 결과가 규정을 위반했다는 이유로 사용 및 개발을 제한했습니다.

시너지 리서치 그룹(Synergy Research Group)의 자료에 따르면 2020년 기준 전 세계 20개 클라우드 및 인터넷 서비스 기업이 597개의 하이퍼스케일 데이터센터를 운영하고 있으며, 이 중 미국의 데이터센터 수가 다른 나라를 훨씬 앞지르며 약 40%에 달한다. 중국 2위이지만 10%만 차지합니다.

정보화 시대에 이런 압도적인 데이터 우위는 극도로 무섭습니다. 중국은 '데이터 센터 국가'는 아니지만 '데이터 위성 국가'로 축소될 수는 없으며, 데이터 주권을 전면적으로 수호하고 데이터 보안과 보호를 강화해야 한다.

3. 일반적인 데이터 보안 위협

데이터 보안 위협은 국가 안보, 사회 보장, 시민 안보, 기업 보안에 영향을 미치며 현재 국가, 기업, 개인이 직면한 큰 보안 과제입니다. 데이터와 관련된 주요 보안 위협은 다음과 같습니다.

• 데이터 도난 및 데이터 유출은 현재 데이터 보안 분야에서 가장 일반적인 문제입니다. 스노든 사건, 화주 사건 등 데이터 유출로 인한 국가적, 사회적 문제는 흔하다.
• 데이터가 암호화되어 탈취되고 있습니다. 랜섬웨어는 최근 몇 년간 네트워크 보안 분야에서 가장 큰 위협이 되었으며 앞으로도 오랫동안 다양한 국가 기관, 중요 인프라 산업, 기업 등이 직면한 매우 큰 보안 문제입니다. . 예를 들어 2017년 Wannacry 사건은 전 세계 사회에 보안 문제를 촉발시켰습니다.
• 데이터가 삭제되고 파기됩니다.. 데이터베이스를 삭제하고 도망간다는 것은 우리가 흔히 농담하는 용어이지만, 실제로 데이터베이스 삭제 사건도 가끔 발생합니다.
• 불법적인 데이터 수집 위협은 주로 기업이나 개인 개발자가 앱이나 기타 프로그램을 사용하여 개인정보 등 프로그램에 필요한 데이터를 수집함으로써 발생합니다.

데이터 보안 위협을 일으키는 주요 방법은 다음과 같습니다.

• 전통적인 네트워크 공격 : [피싱] : 특정 미디어(머신, 메일함 등)에 로그인하여 특정 정보를 탈취하기 위해 머신, 도메인, 메일함, 메신저 도구 등을 포함하는 사용자 계정을 피싱하는 행위; [사이버 공격]에 의해 심기 악성 트로이 목마를 입력하고 트로이 목마를 사용하여 대상 시스템을 제어하고 기밀 파일을 훔칩니다. 공격 방법으로는 웹 침투, 공급망, 작살, APT 공격 등이 있으며, [랜섬웨어]: 공격 후 랜섬웨어가 실행되고 기기에 있는 데이터 파일이 암호화됩니다. 물론, 공격자가 랜섬웨어를 실행하기 전에 컴퓨터에서 중요한 파일을 훔친 다음 랜섬웨어를 실행하는 경우가 많다는 점은 주목할 가치가 있습니다. 이는 몸값을 갈취할 수 있을 뿐만 아니라 추적을 방지하기 위해 로컬 시스템에 있는 공격자의 작업 로그를 파괴할 수도 있습니다.
• 프로그램 취약점: [구성 오류]: 민감한 파일 디렉터리 주소 노출, 민감한 파일 접근에 대한 권한 설정되지 않음, API 호출 인터페이스 권한 설정 등 [취약점]: 임의 파일 읽기 취약점, 계정 없음 로그인 취약점, 권한 에스컬레이션 취약점 Exploit 구성 오류나 취약점을 이용하여 관련 데이터를 획득한 후 접속 빈도 제한, 비정상적인 계정 로그인 프롬프트 등 구현되지 않은 위험 제어를 사용하여 크롤러 및 기타 방법을 통해 대량의 데이터를 탈취합니다.
• 인적 요소 [도용]: 내부자가 기업 내 민감한 데이터를 직접 훔쳐 유출하는 행위, [방치]: 내부 시스템 주소, 계정 로그인 정보 등을 github 등 외부 네트워크에 노출하는 행위, 실수로 rm -rf 등의 작업을 실행하는 행위.

다음은 최근 몇 년간 발생한 주요 데이터 보안 사고 목록입니다.

• 2013년 5월, 전직 CIA 직원이자 국가안보국(NSA)의 아웃소싱 기술자인 에드워드 조셉 스노든은 미국 정부의 기밀 문서 다수를 영국에 유출했는데, 가디언과 워싱턴 포스트는 유출된 데이터에 다음과 같은 내용이 담겨 있다고 보도했습니다. NSA의 프리즘 감시 프로그램을 포함한 공익 자료. 본 자료에는 미국 정부의 사이버공격 자료가 다량 포함되어 있으며, 미국 시민을 감시하는 내용도 포함되어 있어 미국 시민의 개인권리를 침해하고 있습니다. 이 유출로 인해 큰 소란이 일어났고, 미국 정부는 스노든 자신을 수배했습니다.
• 2016년 3월, 힐러리의 캠페인 의장인 존 포데스타(John Podesta)는 이메일 피싱 공격을 받았습니다. 공격자는 Podesta의 이메일 계정 비밀번호를 훔친 후 메일함에 로그인하여 수많은 Hillary 이메일을 포함하여 모든 이메일을 훔쳤습니다. 그리고 해당 데이터는 WikiLeaks에 유출되어 공개되었습니다. 이 사건은 힐러리의 선거 상황을 더욱 악화시켰고, 궁극적으로 미국 선거 결과는 물론 전 세계의 패턴까지 바꿔 놓았습니다.
• 2017년 5월 12일 Wannacry 랜섬웨어가 발생했습니다. 이 랜섬웨어는 EternalBlue 취약점을 악용하여 확산되었으며 전 세계 최소 150개국에서 300,000대 이상의 컴퓨터를 빠르게 감염시켰습니다. 감염된 시스템의 모든 데이터 파일은 암호화되어 있으며 몸값을 지불할 때까지 해독할 수 없습니다. 바이러스로 인해 정부 기관, 병원, 주유소, 제조업체 등이 마비되어 심각한 경제적 손실을 입었습니다.
• 2018년 8월 28일 그곳에서해커Huazhu Group이 소유한 호텔 체인의 사용자 데이터는 다크웹에서 8비트코인 또는 520모네로(현재 가격은 약 370,000위안)에 판매됩니다. 데이터에는 Hanting, Xiyue, Orange, Ibis를 포함하여 Huazhu가 소유한 10개 이상의 브랜드 호텔의 고객 정보가 포함되어 있습니다. 유출된 정보에는 Huazhu 공식 웹사이트 등록 정보, 호텔 체크인 신원 정보, 호텔 객실 예약 기록, 투숙객 이름, 휴대폰 번호, 이메일 주소, ID 번호, 로그인 계정 비밀번호 등이 포함됩니다.
• 2020년 2월 23일, Weimob의 SaaS 사업이 갑자기 무너지고, Weimob을 기반으로 한 가맹점 미니 프로그램이 모두 다운되어 300만 가맹점의 사업이 사실상 중단되었습니다. 조사 결과, Weimeng 서버의 핵심 비즈니스 데이터가 악의적으로 삭제된 것으로 밝혀졌습니다. '데이터베이스 삭제하고 도망가는' 드라마가 현실에서 벌어지고 있다. 결국 이 사건으로 인해 웨이모브의 시장 가치는 10억 달러나 급락했다. 데이터베이스를 삭제하고 도주한 직원은 징역 6년을 선고받았다.
• 2021년 4월 5일, 미국 소셜미디어 페이스북(Facebook) 사용자 약 5억 3300만명의 전화번호, 이메일, 기타 정보를 포함한 개인정보가 유출됐다. 러시아 언론은 페이스북 창업자 저커버그의 전화번호도 유출됐다고 전했다.

4. 데이터 보안 및 네트워크 보안

보안 분야에서는 세 가지 용어가 자주 사용됩니다.정보 보안, 네트워크 보안, 데이터 보안. 『데이터 보안 아키텍처 설계 및 실습』이라는 책의 논의에 따르면, 개발 순서는 정보보안 - 네트워크 보안 - 데이터 보안이다.

보안 관리 시스템이나 정보 및 정보 시스템의 기밀성, 무결성, 가용성 또는 콘텐츠 준수 또는 DLP(내부 인위적 정보 유출 방지) 또는 정적 정보(예: 저장 시스템, "정보 보안"이라는 용어는 광디스크의 정보와 같은 시나리오에서 자주 사용됩니다.

"네트워크 보안"이라는 용어는 네트워크 경계 및 보안 도메인, 네트워크 침입 방지, 네트워크 통신 시스템 또는 전송 보안, 사이버 공간 및 기타 시나리오를 강조해야 할 때 자주 사용됩니다.

"데이터 보안"이라는 용어는 전체 수명주기에서 데이터 보호를 강조해야 할 때나 데이터가 생산성으로 사용되는 경우 또는 데이터 주권, 데이터 주체 권리, 장기 관할권 및 개인 정보 보호와 같은 시나리오에서 자주 사용됩니다. 보호가 강조됩니다.

사이버 공간은 컴퓨팅 환경을 제공하고, 데이터는 정보의 전달자 역할을 하며 컴퓨팅의 대상이 됩니다. 네트워크 보안은 컴퓨팅 객체(데이터)의 보안을 보장하기 위해 컴퓨팅 환경(사이버 공간)의 보안을 강조합니다. 따라서 네트워크 보안은 데이터 보안의 전제이고 데이터 보안은 네트워크 보안의 표현입니다.네트워크 보안은 더 넓은 범위를 포괄하고 데이터 보안의 범위는 더 명확하고 목표가 명확합니다.

실제 상황으로 볼 때, 네트워크 보안의 궁극적인 목표는 데이터 도난, 전송, 암호화, 악의적 삭제 등을 포함한 데이터 보안입니다. 두 번째는 마이닝 바이러스입니다.

5. 데이터 보안 구축

데이터 보안은 네트워크 보안의 확장 또는 구현으로, 데이터 보안 구축과 네트워크 보안 구축은 공통점이 많다.

네트워크 보안 보증의 최종 자산 또는 대상은 기존 PC, 서버, IoT 디바이스 등의 장비입니다. 클라우드 시대에 보장되는 자산은 가상 머신, 컨테이너, 클라우드 서비스 서버리스 등을 포함한 워크로드입니다.

네트워크 보안에서 보안 운영은 일반적으로 자산 인벤토리로 시작한 다음 자산에 대한 위험 검색을 수행하여 취약성 검색, 포트 검색, 취약한 비밀번호 및 기타 탐지 항목과 같은 보안 기준을 설정합니다. 이후 일련의 규칙을 설정하거나 기계 학습을 사용하여 의심스러운 파일 랜딩, 악성 프로세스 실행, 의심스러운 네트워크 링크, 비정상적인 동작 등 클라우드 및 파이프 끝의 여러 차원에서 기계 이상 현상을 모니터링했습니다.

데이터 보안과 관련하여 데이터 보안에서 보호되는 자산 또는 대상은 데이터입니다. 따라서 데이터 보안은 데이터 자산을 핵심으로 삼아 일련의 보안 역량 구축을 수행해야 합니다.

데이터 보안 구축의 핵심은 어떤 데이터가 있는지, 데이터가 어디서 왔는지, 데이터가 어디에 있는지, 데이터를 사용하는 사람은 누구인지입니다. 따라서 이 4가지 핵심 포인트를 중심으로 데이터 보안 운영체계를 구축하는 것이 필요하다. 다음 네 가지 핵심 사항은 데이터 수명 주기에도 적용됩니다.

1. 어떤 데이터가 있나요?

사이버 보안의 자산 목록과 유사합니다. 회사에서 보호하려는 데이터 자산이 무엇인지 알아야 합니다. 귀하의 데이터 자산이 무엇인지조차 모른다면 어떻게 데이터 보안을 보호할 수 있습니까? 어떤 데이터가 있는지 파악한 후에는 데이터를 분류하고 등급을 매겨야 합니다.

데이터 주체의 관점에서 데이터는 공공 데이터, 개인 정보, 법인 데이터의 세 가지 범주로 구분됩니다.

• 공공 데이터: 공공 관리 및 서비스 기관이 법률에 따라 공공 관리 및 서비스 책임을 수행하는 과정에서 수집 및 생성한 데이터, 공공 서비스 제공 시 다른 조직 및 개인이 수집 및 생성한 공익과 관련된 데이터. 공무자료, 수도·전력·가스공급·난방·대중교통·요양·교육·의료·우편사업 등 공공서비스의 공익과 관련된 자료 제공 등
• 개인 데이터: 익명화된 정보를 제외하고 전자적으로 또는 기타 수단으로 기록된 식별되거나 식별 가능한 자연인과 관련된 다양한 정보입니다. 개인 신원 정보, 개인 생체 정보, 개인 재산 정보, 개인 통신 정보, 개인 위치 정보, 개인 건강 및 생리 정보 등;
• 법인정보 : 사업정보, 운영관리정보, 시스템 운영 및 안전정보 등 생산, 운영, 내부관리 과정에서 조직이 수집, 생성하는 정보

데이터가 변조, 파기, 유출되거나 불법적으로 획득 또는 사용된 경우 국가 안보, 공익 또는 개인 및 조직의 정당한 권익에 미치는 피해 정도에 따라 데이터를 공개 수준(레벨 1)으로 구분합니다. 내부 수준은 낮음부터 높음까지 5개 수준(수준 2), 민감 수준(수준 3), 중요 수준(수준 4), 핵심 수준(수준 5)으로 구성됩니다. 그 중 중요데이터는 중요수준(레벨4)에, 국가핵심데이터는 핵심수준(레벨5)에 속한다.

• 공공수준(Level 1): 공공수준의 데이터는 공개적인 의사소통 속성을 가지며 외부로 공개 및 전달이 가능하나, 공공데이터의 경우 카테고리가 너무 많아 상관관계 분석에 활용되지 않도록 그 양과 종류도 함께 고려해야 한다. 또는 너무 많은 양. 이 수준의 데이터가 변조, 파괴, 유출되거나 불법적으로 획득 또는 사용될 경우 개인과 조직의 정당한 권리와 이익에 약간의 피해를 줄 수 있지만 국가 안보나 공공 이익을 위협하지는 않습니다.
• 내부 수준(레벨 2): 내부 수준 데이터는 일반적으로 조직 및 관련 당사자 내에서 공유 및 사용되며, 관련 당사자의 승인을 받아 조직 외부에 공유될 수 있습니다. 이 수준의 데이터가 변조, 파기, 유출되거나 불법적으로 획득 또는 사용될 경우 개인과 조직의 정당한 권익에 전반적으로 해를 끼치거나 공익에 경미한 해를 끼칠 수 있지만 국가 안보에 해를 끼치지는 않습니다. ;
• 민감 수준(레벨 3): 민감 수준 데이터는 승인된 내부 기관이나 담당자만 접근할 수 있으며, 데이터를 외부와 공유하려면 관련 조건을 충족하고 관련 당사자의 승인을 받아야 합니다. 이러한 수준의 데이터가 변조, 파기, 유출되거나 불법적으로 획득 또는 사용되면 개인 및 조직의 정당한 권리와 이익에 심각한 해를 끼치거나 공공 이익에 전반적인 해를 끼칠 수 있지만 국가 안보를 위협하지는 않습니다.
• 중요 수준(수준 4): 중요 수준의 데이터는 승인된 승인 목록에 따라 엄격하게 관리되며, 통제된 범위 내에서 엄격한 검토, 승인, 평가를 거쳐야만 공유 또는 전파될 수 있습니다. 이러한 수준의 데이터가 변조, 파기, 유출되거나 불법적으로 획득 또는 사용되면 개인 및 조직의 정당한 권익에 특히 심각한 피해를 줄 수 있고, 공익에 심각한 해를 끼칠 수 있으며, 경미하거나 일반적인 피해를 초래할 수 있습니다. 국가 안보에. ;
• Core Level(레벨 5): Core 레벨 데이터를 외부로 공유하거나 전파하는 것이 금지됩니다. 이러한 수준의 데이터가 변조, 파괴, 유출되거나 불법적으로 획득 또는 사용될 경우 국가 안보에 심각하거나 특히 심각한 해를 끼치거나 공공 이익에 특히 심각한 해를 끼칠 수 있습니다.

또한 데이터 보급의 관점에서 데이터는 공개 전파 데이터와 비공개 전파 데이터로 나눌 수도 있습니다. 공공 커뮤니케이션 데이터란 공공 커뮤니케이션 속성을 가지며 공개적으로 공개 및 전달될 수 있는 데이터를 말합니다. 공공수준의 데이터는 공공통신데이터에 속합니다. 비공개 통신 데이터란 국가 기밀, 중요 데이터, 영업 비밀, 개인 정보, 조건이나 금지가 있는 공공 데이터 등 공개 통신 속성이 없고 승인된 제한된 범위 내에서만 유포되거나 유포가 금지된 데이터를 말합니다. 공유, 지적재산권의 동의 없는 저작물 등에 관한 사항 내부 수준, 민감 수준, 중요 수준, 핵심 수준 데이터는 모두 비공개 유포 데이터입니다.

데이터 분류 및 등급화의 기본 프레임워크는 다음과 같습니다.

 

2. 데이터는 어디에서 오는가?

다음 보안 문제를 해결하려면 데이터가 수집되는 위치를 알아야 합니다.

• 수집 프로세스가 합법적이고 규정을 준수합니까? "데이터 보안법", "일반적인 유형의 모바일 인터넷 애플리케이션에 필요한 개인정보 범위에 관한 규정", GDPR 등을 엄격히 준수해야 합니다.
• 수거 터미널과 수거 과정은 안전한가요? 터미널 보안 감지, 입력 보안 등을 보장하는 보안 키보드;
• 데이터를 클라우드에 수집할 때 전송은 안전한가요? 전송 채널 암호화.

3. 데이터는 어디에 있나요?

데이터가 저장되는 위치와 스토리지 환경의 보안 문제를 해결해야 합니다.

• 데이터 저장: 암호화, 감도 줄이기, 워터마킹
• 저장 매체의 보안: 랜섬웨어 바이러스, 도난당한 비밀번호 등을 방지하기 위한 물리적 매체, 운영 체제 등의 전통적인 네트워크 보안 범주
• 데이터 백업: 여러 복사본, 여러 데이터 센터 등 재해 발생 후 신속한 복구를 위해.

4. 데이터를 사용하는 사람은 누구인가요?

데이터 사용 중 보안 문제를 해결해야 합니다.

• 사용자 신원 및 권한 확인
• 데이터 API 인터페이스 보안
• DLP, 데이터 유출 방지
• 데이터 액세스 시나리오 및 빈도
• 데이터 재처리

따라서 위의 개념을 바탕으로 가시성, 통제성, 운용성, 추적성, 복구성이 가능한 데이터 보안 운영체계를 구축하는 것이 필요하다. 자세한 내용은 다음 섹션에서 설명하겠습니다.

6. 데이터 보안 운영 프레임워크

본 논문에서는 다음을 기반으로 한 데이터 보안 운영 프레임워크를 제안한다.제로 트러스트및 DataSecOps 데이터 보안 운영 프레임워크.

먼저 제로 트러스트에 대해 이야기해 보겠습니다. 제로 트러스트(Zero Trust)는 현재 네트워크 보안 분야에서 널리 사용되는 보안 개념 또는 프레임워크입니다. 실제로 데이터 보안 분야에서도 제로 트러스트 개념이 채택될 수 있다. 이 철학의 핵심은 다음과 같습니다. 절대로 신뢰하지 말고 항상 확인하십시오. 데이터 보안 분야에서는 제로 트러스트의 기본 원칙이 유지됩니다.

• 아이덴티티를 기반으로
• 최소 권한의 원칙
• 전략과 전략의 동적, 검증

실제로 국방부(DOD) 제로 트러스트 참조 아키텍처에는 데이터가 제로 트러스트의 목표 요소 중 하나라고 언급되어 있습니다.

나머지에는 ID, 장치, 네트워크, 애플리케이션이 포함됩니다. 따라서 데이터 보안을 보호하는 것이 제로 트러스트의 궁극적인 목표입니다.

따라서 제로 트러스트 프레임워크는 다음과 같은 순서와 단계로 나눌 수 있습니다.

1. 제로 트러스트 네트워크 액세스(ZTNA, Zero Trust Network Access)는 현재 대부분의 제로 트러스트 제품이 위치해 있는 단계로 주로 비즈니스 시스템에 대한 제로 트러스트 액세스에 사용되며 주로 SDP 아키텍처를 사용합니다.

2. 제로 트러스트 애플리케이션 액세스(ZTAA, Zero Trust Application Access)는 최신 제로 트러스트 제품이 위치한 단계로, 주로 마이크로 격리를 핵심으로 구축됩니다.

3. 제로 트러스트 데이터 액세스 및 제로 트러스트 데이터 보호(ZTDA, Zero Trust Data Access 및 ZTDP, 제로 트러스트 데이터 보호)는 주로 데이터 보안을 위해 구축되었습니다.

따라서 데이터 액세스는 네트워크 및 애플리케이션의 다음 단계이며 해당 프레임워크 다이어그램은 다음과 같습니다.

제로 트러스트 1.0

제로 트러스트 2.0

여러 구성 요소는 다음과 같습니다.

• 데이터 접근 프록시: 직접적인 데이터베이스 운영이든 API 인터페이스이든 모든 데이터 기반 접근은 직접 접근 및 운영되지 않습니다. 대신 에이전트를 통해 전송됩니다. 기본 데이터베이스 액세스 및 작업 권한은 금지됩니다. 기관에서는 신원, 권한, 기타 정책 검증을 거쳐야 접근 권한을 부여할 수 있으며, 이후 관련 데이터베이스 운영을 수행할 수 있습니다.
• 결정 센터: 결정 센터는 제로 트러스트 시스템의 두뇌로, 어떤 사용자와 어떤 애플리케이션이 어떤 데이터에 대해 작동할 수 있는지 결정합니다. 의사 결정 센터는 신원 기반 제어 시스템을 채택합니다. RBAC, ABAC 등을 접근 제어에 사용할 수 있습니다. 제어 차원에는 ID, 장치, 네트워크, APP, 동작 등이 포함될 수 있습니다. 또한 시나리오, 기간 등에 따라 동적 전략을 조정할 수 있습니다.
• 데이터 센터: 데이터 저장소는 데이터 카테고리, 수준 등에 따라 별도로 저장될 수 있습니다. 각 데이터가 서로 격리되어 있는지 확인하세요. 저장 디렉터리, 컴퓨터실, 권한 등을 포함합니다.

물론 제로 트러스트 데이터 보호 솔루션을 구현하려면 DataSecOps와 결합해야 합니다. DataSecOps 역시 데이터 분야의 DevSecOps 개념을 확장한 것으로, 이후에 데이터를 보호하는 것이 아니라 데이터 개발, 운영, 저장 과정에 보안 속성을 내장해야 한다는 점을 강조합니다.

보안 엔지니어링, 데이터 엔지니어링 및 기타 관련 이해관계자 간의 지속적인 협업을 위한 공동 팀을 구성하려면 최소 권한의 원칙을 확립하고 단위 수준 및 행 수준 권한 제어를 수행해야 하며, 보안을 유지하면서 데이터 액세스를 단순화해야 합니다. 프로세스. 좋다:

마지막으로 장비와 아키텍처만으로는 충분하지 않으며 높은 네트워크 보안 유연성을 갖춘 완벽한 데이터 운영 센터도 필요합니다. 데이터를 표시하고, 제어하고, 작동하고, 추적하고, 복구할 수 있도록 만듭니다.

• 가시성: 데이터 자산의 좋은 목록을 작성하고 데이터의 범주 및 분류, 사용자에게 필요한 권한, 데이터 사용 기록 등을 명확히 합니다.
• 제어 가능: 세분화된 신원 및 권한 제어, 데이터 둔감화, 데이터 암호화 저장, 미디어 네트워크 보안 모니터링(터미널, 방화벽 등), DLP 등
• 운영: 로그 감사, 행위 이상 모니터링 등
• 추적성: 데이터 색상 지정, 그림의 보이지 않는/명시적 워터마크 등과 같은 디지털 워터마크를 데이터에 추가합니다.
• 복구 가능: 백업 등 재해 복구 조치

7. 요약

현재 데이터 보안 문제는 여전히 심각해 안전한 데이터센터 구축이 시급하다. 국가와 국민의 데이터 보안을 침해로부터 보호하는 것은 사회 전체의 공감대가 되었습니다.

네트워크 보안과 데이터 보안 공방의 가장 중요한 측면은 여전히 사람 간의 공방이라는 점을 지적해야 합니다. 사람은 항상 통 속의 가장 짧은 연결고리입니다. 제로 트러스트 아키텍처는 시스템을 통해 인간의 일부 단점을 최대한 보완하고 전반적인 보안 기능을 향상시킬 수 있습니다.

물론, 제로 트러스트가 만병통치약은 아니며, 여전히 모든 보안 문제를 해결할 수는 없다는 점을 지적해야 합니다. 따라서 데이터 보안을 더욱 효과적으로 보장하려면 고도로 성숙한 데이터 보안 운영 센터를 구축해야 합니다.

데이터 보안은 현재 네트워크 보안 금융 트랙에서 가장 인기 있는 영역이며, 데이터 보안을 핵심으로 하는 스타트업과 보안 제품이 점점 더 많아지고 있다는 점은 주목할 가치가 있습니다.

우리는 국가의 데이터 보안에 관한 법률 및 규정이 점점 더 완벽해짐에 따라 다양한 기관, 단위 및 기업이 데이터 보안에 점점 더 많은 관심을 기울이고 데이터 보안에 대한 투자를 더욱 많이 함으로써 우리나라의 데이터 보안 구축이 확실해질 것이라고 믿습니다. 점점 더 좋아질 것입니다.

8. 참고 링크

1. 데이터 보안 문제 확대: 핵심 영역의 영향, 대책 및 기회: http://n1.sinaimg.cn/finance/9b213f90/20210826/ShuJuAnQuanBaoGao20210823.pdf

2. 네트워크 보안 표준 실무 가이드 - 데이터 분류 및 등급 지정 지침: https://www.tc260.org.cn/upload/2021-09-30/1633014582064034019.pdf

3、中国网络安全产业分析报告（2021年）:http://www.mogesec.com/%e4%b8%ad%e5%9b%bd%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e4%ba%a7%e4%b8%9a%e5%88%86%e6%9e%90%e6%8a%a5%e5%91%8a%ef%bc%882021%e5%b9%b4%ef%bc%89/

4、Department of Defense (DOD) Zero Trust Reference Architecture（国防部零信任参考架构）：http://www.mogesec.com/department-of-defense-dod-zero-trust-reference-architecture%ef%bc%88%e5%9b%bd%e9%98%b2%e9%83%a8%e9%9b%b6%e4%bf%a1%e4%bb%bb%e5%8f%82%e8%80%83%e6%9e%b6%e6%9e%84%ef%bc%89/